iPhone 诈骗又出新招，四招教你防范假弹窗

编者按：本文来自少数派。

当你的 iPhone 出现这样的弹窗时，你的第一反应是什么？

澳大利亚开发者 Felix Krause 也想到了这个问题，他在 他的博客文章 中，讨论了开发者故意在自己的应用中设计钓鱼弹窗来盗取用户 Apple ID 与密码的可能性，这种自行设计的弹窗可以做到在显示上与 iOS 账号密码输入弹窗完全相同。

✅ 为 iOS 官方系统弹窗；🚫 为钓鱼弹窗

那么，通过这种钓鱼手段来「光明正大」地盗取用户 Apple ID 的账号与密码，是否能够实现呢？答案是有可能的。

首先，不管是哪一代 iOS 系统，都曾向用户展示过这样的账号密码弹窗，比如在 iOS 升级时、Game Center 登录时、应用内付费购买时等等。iOS 用户已经理所当然地养成了毫不犹疑在这样的输入框中填写账号密码的习惯。因此利用钓鱼弹窗来盗取 Apple ID 账号密码，大多数用户可能都会乖乖配合。

此外，这类弹窗采用的是 iOS 统一设计规范中的 UIKit - UIAlertController。一直以来，Apple 都鼓励开发者调用 UIKit 来使 iOS 应用看起来有统一的设计，而开发者只需要将 UIAlertController 的 title、message 和 Action 稍作修改，就能实现真假难辨的钓鱼弹窗。这是一段非常简单的代码，只要是位开发者都知道怎么写，所以问题就在于开发者有没有做坏事的心思。

更糟糕的是，这类弹窗完全可以在应用通过 App Store审核后实现，绕开 Apple 的各种审核手段，例如使用远程代码、定时代码等（远程代码是被禁止使用的，但仍有通过审核的可能）。

那么，对用户而言，是否有一种有效的手段可以避免被这类以假乱真的钓鱼弹窗欺骗呢？答案也是肯定的。以下的方法都可以使用：

1⃣️ 按一下 Home 键看看它会不会消失

如果一个 Alert 弹窗是系统实现的，那么按下 Home 键，它不会消失；而如果一个 Alert 弹窗是应用实现的，那么按下 Home 键，它会消失。下图的弹窗是在 App Store 更新应用时触发的，可以看到按下 AssistiveTouch 中的 Home 键后，它并没有消失，而仍然显示在主屏幕上。

2⃣️ 不输入或故意输入错误的账号和密码

如果是 iOS 系统要求你输入 Apple ID 账号和密码，显然你必须输入正确的内容，才能使操作继续。而如果你输入了错误的内容或者干脆不输入也能继续，那么很有可能这是钓鱼弹窗。

3⃣️ 不要在弹窗中输入账号和密码

尽量使用 Touch ID、Face ID 等身份认证方式，而避免在弹窗中输入账号密码。如果一定要输入才能进行身份认证，可以在 iOS 系统的「设置」中进行，因为 iOS 系统官方的弹窗，就是从设置中调取用户的身份认证。

4⃣️ 终极保护：双重认证

为你的 Apple ID 开启双重认证 后，当有应用或服务想要访问你的账号时，iOS 除了要求你输入账号和密码之外，还会给你的「受信任设备」或「受信任电话号码」发送验证码，这三项完全正确，才能访问你的 Apple ID。因此，即使钓鱼弹窗获取了你的 Apple ID 账号和密码，它们也无法得知验证码，在短时间内你的账户还是安全的。你可以尽快修改 Apple ID 账号和密码，以防数据泄漏财产损失。

注：本文作者 ElijahLee 坚决反对一切组织或个人使用文章中的方法、代码、图片等一切形式进行盗取 Apple ID、窃取隐私数据、敲诈勒索等违法犯罪行为。

想获得更多实用技巧和方法，欢迎订阅 Power+ 生产力提升专栏

该文观点仅代表作者本人，36氪平台仅提供信息存储空间服务。